:: News .:. Documents .:. Forum .:. Downloads .:. Bibliographie .:. Liens .:. Contact  :: 


Home
  :. News
  .: Documents
    .: Notions
    .: Protocoles
    .: Sécurité
    .: Architecture
    .: Prog
    .: Systèmes
  :. Forum
  .: Downloads
  :. Bibliographie
  .: Liens
  :. Contact

Chat

  Nickname:


irc: #guill.net

Forum



RFC 1918 : Classes d'Adresses Privées : Définition

Crédits : Y. Rekhter, Cisco Systems
B. Moskowitz, Chrysler Corp.
D. Karrenberg, RIPE NCC
G. J. de Groot, RIPE NCC
E. Lear, Silicon Graphics, Inc.
Traduction :  Thomas PEDOUSSAUT / Ingénieur EISTI / Octobre 1998

Statut : Usage recommandé
Remplace: RFCs 1627, 1597
Février 1996


Note du diffuseur :
Le texte suivant est une traduction intégrale, telle qu'éditée par les auteurs originaux, sans ajouts, commentaires, ni omissions. Ce document est mentionné comme étant un "Best Current Practice" de la communauté Internet.A ce titre, il s'agit d'une "pratique courante conseillée", mais ne constitue en rien une norme.


Table des matières


Statut de ce Memo

Ce document décrit la meilleure pratique actuelle sur l'Internet pour la communauté, et demande des suggestions pour l'amélioration. La diffusion de cememo est libre.

1. Introduction

Pour le contexte de ce document, une entreprise est une entité autonome,exploitant un réseau utilisant TCP/IP et en particulier définissant un pland'adressage et assignant ces adresses sur ce réseau.

Ce document décrit l'allocation d'adresses pour des réseaux privés. Cetteallocation permet une connectivité de toutes les couches réseau entre toutes lesmachines à l'intérieur de l'entreprise ainsi que vers des machines publiques dedifférentes entreprises. Le coût d'utilisation d'adresses dans des plagespubliques est égal au coût potentiel de renumérotation des machines et desréseaux entre le public et le privé.

2. Motivation

Avec la prolifération de la technologie TCP/IP à travers le monde, même endehors de l'Internet lui même, un nombre croissant d'entreprises non connectéesutilisent cette technologie et ses capacités d'adressage pour des besoins decommunication uniquement intra-entreprise, sans jamais l'intention de seconnecter à d'autres entreprises ni à l'Internet lui-même.

L'Internet a crû au delà de toutes les prévisions. Cette croissanceexponentielle constante amène de nouveaux défis. Un de ceux-ci concerne toute lacommunauté informatique : l'attribution intégrale de cet espace d'adressageunique.

Un autre défi un peu différent est la charge des tables de routage qui croitau dela des possibilités des Fournisseurs d'Accès à l'Internet (FAI). Des efforts sontfaits par la communauté internaute pour trouver des solutions à long termepour ces deux problèmes. De toutes façons, il est nécessaire de revoir les procéduresd'allocation d'adresses et leur impact sur le système de routage d'Internet.

Pour contenir la croissance des tables de routage, un fournisseur d'accèsdemande un bloc d'adresses à un organisme d'enregistrement, et en réattribue à l'intérieurde ce bloc, selon les besoins de ses clients. Le résultat est que les routesvers plusieurs clients peuvent être agrégées ensemble et apparaîtront pour lesautres fournisseurs comme une seule route [RFC1518], [RFC1519]. Pour quel'agrégation des routes soit efficace, les FAI (Fournisseurs d'accès Internet)encouragent leurs clients qui rejoignent leur réseaux d'utiliser une plage dubloc du FAI, et par là-même renuméroter leurs machines. De tels encouragements peuventdevenir des obligations dans le futur.

Avec la taille actuelle de l'Internet et son rythme de croissance, il n'estplus réaliste de croire que grâce aux vertus de l'obtention d'adresses IPuniques de la part d'un organisme d'enregistrement, une organisation quiacquière de telles adresses pourra avoir une connectivité IP sur toutl'Internet lorsque cette organisation sera elle même connectée à Internet. Aucontraire, il est plus probable que lorsque l'organisation se connectera àl'Internet pour réaliser une connectivité IP sur tout l'Internet,l'organisation devra changer d'adresse IP (renuméroter) toutes ses machinespubliques (qui ont besoin de se connecter à l'Internet), en fonction del'unicité globale ou non des adresses utilisées initialement par l'organisation.

Il a été typique d'assigner des adresses globalement uniques à toutes lesmachines qui utilisent TCP/IP. Pour pouvoir étendre la durée de vie del'adressage IPv4, les organismes d'enregistrement demandent beaucoup plus dejustifications qu'auparavant, rendant la tâche plus difficile à desorganisations pour acquérir un espace d'adressage supplémentaire [RFC1466].

Les machines de l'entreprise qui utilisent TCP/IP peuvent être divisées en 3catégories:

Catégorie 1 : les machines qui n'ont pas besoin d'acceder à des machinesd'autres entreprises ou à l'Internet dans son ensemble. Les machines de cettecatégorie peuvent utiliser des adresses IP qui sont uniques dans l'entreprise,mais qui peuvent être ambigues entre différentes entreprises.
Catégorie 2 : les machines qui ont besoin d'accéder à un nombre limité deservices extérieurs (ex: E-Mail, WWW, FTP, remote login) qui peuvent êtresservis par des passerelles applicatives. Pour beaucoup de machines dans cettecatégorie, un accès non restreint (fourni par la connectivité IP) n'est pasforcément nécessaire et même quelque fois non désiré pour des raisons desécurité. Pour les mêmes raisons que pour les machines de la premièrecatégorie, de telles machines peuvent utiliser des adresses IP uniques dansl'entreprise, mais qui peuvent être ambigues entre différentes entreprises.
Catégorie 3 : les machines qui ont besoin d'un accès réseau à l'extérieur del'entreprise (fourni par la connectivité IP). Les machines de cette dernièrecatégorie ont besoin d'une adresse unique sur tout l'Internet.

Nous parlerons des machines des catégories 1 et 2 commes de machines"privées", et de celles de la 3eme categorie comme des machines "publiques".

Beaucoup d'applications n'ont besoin de connectivité qu'à l'intérieur del'entreprise et n'ont pas besoin de connectivité extérieure (à l'entreprise).Dans de grandes entreprises, il est souvent facile d'identifier un nombreimportant de machines utilisant TCP/IP qui n'ont pas besoin de connectivité àl'extérieur de l'entreprise.

Quelques exemples, où la connectivité extérieure n'est pas obligatoire :

  •  Un grand aéroport qui possède des écrans d'affichage d'Arrivée/Départutilisant TCP/IP. Il n'est absolument pas souhaitable que ces écrans soientaccessibles directement depuis d'autres réseaux.
  •  De grandes organisations comme des banques ou des chaines de location devoitures basculent vers TCP/IP pour leur communication. Un grand nombre destations de travail comme des caisses automatiques, des distributeurs debillets, ou des postes de courtage ont rarement besoin d'une telle connectivité.
  •  Pour des raisons de sécurité, beaucoup d'entreprises utilisent despasserelles applicatives pour connecter leur réseau interne à l'Internet. Leréseau interne n'a souvent aucun accès direct à l'Internet, c'est pourquoiseulement une ou plusieurs passerelles sont visibles depuis l'Internet. Dans cecas, le réseau interne peu utiliser des adresses IP non globales.
  •  Les interfaces des routeurs sur un réseau interne n'ont souvent pas besoind'être directement accessibles depuis l'extérieur de l'entreprise.

3. Espace d'adresses privées

L'Autorité d'Affectation de Numéros sur Internet (IANA) a réservé les 3 blocsuivant dans l'espace d'adressage pour des réseaux internes :

10.0.0.0       
-       10.255.255.255 (10/8 prefix)
172.16.0.0      -      
172.31.255.255 (172.16/12 prefix)
192.168.0.0     -      
192.168.255.255 (192.168/16 prefix)

Nous parlerons du premier bloc comme le bloc de 24 bits, le second commecelui de 20 bits, et du troisième comme le bloc de 16 bits. Notez (en notationpre-CIDR) que le premier bloc n'est rien d'autre qu'une classe A, le second, unensemble de 16 classes B contigues et le troisième, un ensemble de 256 classesC contiguës.

Une entreprise qui décide d'utiliser des adresses à l'intérieur des plagesspécifiées dans ce document peut le faire sans en référer à l'IANA ni unorganisme d'enregistrement. L'espace ainsi défini peut être siimultanément utilisé par de nombreuses entreprises. Les adresses dans ces plages ne seront uniques qu'àl'intérieur de l'entreprise, ou du groupe d'entreprises qui décident de semettre d'accord sur cet espace d'adressage pour être capables de communiquerensemble dans leur propre inter-réseau.

Comme précédemment, toute entreprise qui a besoin de plages d'adressesmondialement uniques doit en faire la demande auprès des organismesd'enregistrement. Une entreprise qui demande des adresses pour sa connectivitéexterne ne se les verra jamais attribuer dans les plages ci-dessus.

Pour pouvoir utiliser les plages d'adresses privées, une entreprise doitdéterminer quelles machines n'ont pas, et n'auront pas dans un futur proche,besoin d'une connectivité à l'extérieur de l'entreprise et pourront êtrequalifiées de privées. De telles machines utiliseront l'espace d'adressage ci-dessus. Les machines privées peuvent communiquer avec toutes les autres machinesde l'entreprise, à la fois publiques et privées. Néanmoins, elles ne peuventavoir de connectivité IP avec une machine à l'extérieur de l'entreprise. Mêmesi elles n'ont pas de connectivité IP vers l'extérieur, les machines privéespeuvent toutefois avoir accès à des services extérieurs grâce à des passerelles(ex passerelles applicatives).

Toutes les autres machines seront publiques et utiliseront l'espaced'adressage unique global assigné par un service d'enregistrement. Les machinespubliques peuvent communiquer avec d'autres machines privées ou publiques àl'intérieur de l'entreprise et possèdent une connectivité IP avec les machinespubliques extérieures à l'entreprise. Les machines publiques n'ont pas deconnectivité avec des machines privées d'autres entreprises.

Passer une machine du statut privé au public ou vice-versa impliquele changement de l'adresse IP, de l'entrée correspondante dans les DNS et desfichiers de configuration des différentes machines accèdant à celle ci paradresse IP.

 Comme les adresses privées n'ont aucune signification globale, lesinformations de routage ne doivent pas être propagées sur des liens inter-entreprises, et les paquets ayant de telles adresses source ou destination nedoivent pas être envoyés sur de tels liens. Les routeurs sur des réseauxn'utilisant pas d'espace d'adressage privé, plus spécialement ceux des FAI,doivent être configurés pour rejeter (filtre sortant) les informations deroutage concernant les réseaux privés. Si un routeur de la sorte reçoit un telpaquet, il ne doit être traité comme une erreur de protocole de routage.

Des références indirectes à de telles adresses doivent être maintenues àl'intérieur de l'enteprise. Des exemples typiques sont les Enregistrements DNSou d'autres informations se référant aux adresses privées internes. Enparticulier, les FAI doivent prendre des mesures pour éviter de telles fuites.

4. Adantages et Inconvénients de l'utilisation d'espace d'adressage privé

L'avantage évident pour l'Internet de l'adressage privé est la protectionconservatoire de l'espace d'adressage global en ne l'utilisant pas là oùl'unicité globale n'est pas requise.

Les entreprises elles mêmes se réjouissent des nombreux avantages del'utilisation d'espace d'adressage privé. Elles gagnent en flexibilité dansl'architecture du réseau en ayant un espace d'adressage à leur disposition plusgrand que celui qu'elles auraient pu obtenir par une plage unique. Cela permetdes schemas d'adressage conforme aux préocupations administratives etopérationnelles ainsi qu'une croissance plus facile des zones.

Pour différentes raisons, l'Internet a déjà été confronté à des situations oùune entreprise qui n'a pas été connectée à l'Internet utilisait un espaced'adressage IP pour ses machines sans que celui-ci lui ait été assigné parl'IANA. Dans quelques cas, cet espace avait déjà été assigné à une autreentreprise. Si une telle entreprise veut plus tard se connecter à l'Internet,cela peut créer de sérieux problèmes, car le routage IP ne peut fonctionnercorrectement en présence d'adresses ambiguës. De toute façon, en principe, lesFAI se prémunissent de telles erreurs en mettant en oeuvre des filtres sur lesroutes, même si cela n'est pas toujours le cas dans la pratique. L'utilisationd'espaces d'adressage privés est un choix sécurisant pour de tellesentreprises, empêchant les problèmes une fois que la connectivité exernedevient nécessaire.

Un principal inconvénient dans l'utilisation de l'adressage privé est laréduction de la flexibilité dans l'accès de l'entreprise à l'Internet.

Une fois validé l'utilisation d'adresses privées, c'est la renumérotationd'une partie ou la totalité de l'entreprise qui est validée si l'on décide defournir un connectivité IP entre cette partie (ou toute l'entreprise) etl'Internet. Habituellement, le coût de la renumerotation peut être mesuré parle nombre de machines devant passer du domaine privé au public. Comme nous enavons discuté précédemment, néanmoins, même si un réseau utilise des adressesuniques globales, il faudra de toute façon renumeroter pour obtenir uneconnectivité IP sur tout l'Internet.

Un autre inconvénient à l'utilisation d'espace d'adressage privé apparaitlorsque l'entreprise connecte son réseau avec ceux d'autres entreprises en unseul inter-réseau. Il y a alors le risque d'avoir à renuméroter. En regardantles exemples que nous avons vus en section 2, les entreprises tendent àfusionner. Si ces entreprises, avant la fusion entretenaient une certainecohérence en utilisant des espaces d'adressage privés, après la fusion veulentcombiner leurs réseaux en un seul inter-réseau, certaines adresses dans ceréseaux risquent de ne plus être uniques. Le résultat est l'obligation derenuméroter ces machines.

Le cout de la renumérotation peut être atténué par le développement etl'utilisation d'outils qui facilitent la renumerotation (ex Dynamic HostConfiguration Protocol (DHCP)). Lors de la décision d'utiliser des classesd'adresses privées, nous recommandons d'interroger les vendeurs de matériel etde logiciel sur la disponibilité de telsoutils. Un groupe de l'IETF (PIERWorking Group) produit une documentation sur les prérequis et les procédurespour la renumérotation. 

5. Considérations Opératoires

Une stratégie possible est de concevoir la partie privée du réseau en premieret d'utiliser l'adressage privé pour tous les liens internes. Ensuite,planifier les sous-réseaux publiques là où cela est requis et concevoir laconnectivité externe.

Cette conception n'a pas besoin d'être fixée une fois pour toute. Si ungroupe de machine doit changer de statut (de privé vers public ou vice-versa) par la suite, celà peut être fait en ne renumérotant que lesmachines impliquées et en changeant la connectivité si besoin est. Dans lesendroits où de tels changements sont à prévoir (salles machines) il estconseillé de prévoir de mediums physiques séparés pour les réseaux publiques etprivés afin de faciliter l'opération. Pour éviter d'importantes interruptionsdu réseau, il est conseillé de grouper sur un même brin des machines ayant lemême profil de connectivité.

Si un plan de découpage en sous-réseaux acceptable peut être conçu etsupporté par le matériel, il est conseillé d'utiliser le bloc de 24 bits(classe A) de l'espace d'adressage privé et de faire un plan d'adressage avecune bonne capacité d'évolution. Si le decoupage en sous réseaux est unproblème, le bloc de 16 bits (réseaux de classe C) ou celui de 20 bits (réseauxde classe B) peuvent aussi être utilisés pour l'adressage.

On peut être tenté d'avoir à la fois des adresses publiques et privées sur lemême media physique. Bien que cela soit possible, il y a des limitation à unetelle architecture (notez que les limitations n'ont rien à voir avec lesadresses privées, mais sont dues à la présence de plusieurs sous-réseaux IP surle même brin physique). Nous vous conseillons la prudence en procédant de lasorte.

Il est fortement recommandé que les routeurs connectant l'entreprise auxréseaux extérieurs soient configurés avec des filtres sur les paquets et leroutage appropriés aux deux extrémités afin de se prévenir contre la fuite depaquets et de routes. Une entreprise doit aussi filtrer les information deroutage entrantes concernant des réseaux privés pour se protéger elle-même desituations de routage ambiguës qui peuvent survenir lorsque des routes versl'espace d'adressage privé pointe vers l'extérieur de l'entreprise.

Il est possible pour 2 sites qui coordonnent leur espace privé d'adressage decommuniquer ensemble au travers d'un réseau publique. Pour ce faire, elles doivent utiliser une méthode d'encapsulation à leur frontière avec le réseau publique, pour préserver leurs adresses privées.

Si 2 (ou plus) organisations suivent les plans d'adressage spécifiés cidessus et veulent par la suite établir une connectivité IP les unes avec lesautres, il y a un risque d'ambiguité dans les adresses. Pour minimiser lerisque, il est fortement conseillé qu'une organisation utilisant l'adressageprivé choisisse une plage aléatoire dans cet espace, lorsqu'elle alloue dessous-blocs.

Si une entreprise utilise l'espace d'adressage privé, ou un mélange privé/public, alors les DNS secondaires, à l'extérieur de l'entreprise, ne doivent pasvoir d'adresses appartenant à l'adressage privé car celles-ci sont ambiguës (ou ont quelques chances de l'être). Une façon de de s'assurer de cela est de faire tourner 2 servers de noms de domaines "autorisés" pour chaque zone contenant des adresses publiques et privées. Un serveur, visible depuis l'extérieur et ne servant que les adresses joignables depuisl'extérieur. Le deuxième, uniquement accessible depuis l'intérieur et servantla totalité des données, y compris les adresses privées et les adressespubliques accessibles depuis le réseau privé. Pour assurer la cohérence, lesdeux serveurs doivent être configurés à partir des mêmes données. Cespossibilités ajoutent un certain degré de complexité. 

6. Considérations de Sécurité

Les fonctions de sécurité ne sont pas traitées dans ce memo. 

7. Conclusion

Selon le schemas expliqué ci-dessus, de grandes entreprises n'ont besoinfinalement que d'un relativement petit bloc d'adresses publiques issues del'espace d'adressage global. L'Internet dans son ensemble bénéficie de lapréservation de l'espace d'adressage global qui permet d'accroître la durée devie d'IPv4. L'entreprise bénéficie d'une flexibilité plus grande apportée parl'espace d'adressage relativement grand des plages d'adresses privées.Néanmoins, l'utilisation de l'adressage privé requiert que l'organisationchange une partie de son adressage lorsque ses besoins de connexion changent. 

8. Remerciements

Nous voulons remercier Tony Bates (MCI), Jordan Becker (ANS), Hans-WernerBraun (SDSC), Ross Callon (BayNetworks), John Curran (BBN Planet), Vince Fuller(BBN Planet), Tony Li (cisco Systems), Anne Lord (RIPE NCC), Milo Medin (NSI),Marten Terpstra (BayNetworks), Geza Turchanyi (RIPE NCC), Christophe Wolfhugel(Pasteur Institute), Andy Linton (connect.com.au), Brian Carpenter (CERN),Randy Bush (PSG), Erik Fair (Apple Computer), Dave Crocker (BrandenburgConsulting), Tom Kessler (SGI), Dave Piscitello (Core Competence), MattCrawford (FNAL), Michael Patton (BBN), and Paul Vixie (Internet SoftwareConsortium) pour leur relecture et commentaires constructifs.

9. Références

[RFC1466] Gerich, E., "Guidelines for Management of IP Address Space", RFC1466, Merit Network, Inc., May 1993.

[RFC1518] Rekhter, Y., and T. Li, "An Architecture for IP Address Allocationwith CIDR", RFC 1518, September 1993.

[RFC1519] Fuller, V., Li, T., Yu, J., and K. Varadhan, "Classless Inter-DomainRouting (CIDR): an Address Assignment and Aggregation Strategy", RFC 1519,September 1993.

10. Adresses des Auteurs

Yakov Rekhter
Cisco systems
170 West Tasman Drive
San Jose, CA, USA
Phone: +1 914 528 0090
Fax: +1 408 526-4952
EMail: yakov@cisco.com

Robert G Moskowitz
Chrysler Corporation
CIMS: 424-73-00
25999 Lawrence Ave
Center Line, MI 48015
Phone: +1 810 758 8212
Fax: +1 810 758 8173
EMail: rgm3@is.chrysler.com

Daniel Karrenberg
RIPE Network Coordination Centre
Kruislaan 409
1098 SJ Amsterdam, the Netherlands
Phone: +31 20 592 5065
Fax: +31 20 592 5090
EMail: Daniel.Karrenberg@ripe.net

Geert Jan de Groot
RIPE Network Coordination Centre
Kruislaan 409
1098 SJ Amsterdam, the Netherlands
Phone: +31 20 592 5065
Fax: +31 20 592 5090
EMail: GeertJan.deGroot@ripe.net

Eliot Lear
Mail Stop 15-730
Silicon Graphics, Inc.
2011 N. Shoreline Blvd.
Mountain View, CA 94043-1389
Phone: +1 415 960 1980
Fax:   +1 415 961 9584
EMail: lear@sgi.com




Sondage

Quel est votre connexion à Internet aujourd'hui ?
 
RTC 56Kbps
ADSL simple de 128 à 2048 Kbps
ADSL + Téléphonie (+TV) de 128 à 2048 Kbps
ADSL simple jusqu'à 20Mbps
ADSL + Téléphonie (+TV) jusqu'à 20Mbps
Autres (RNIS, Satellites bi-directionnel...)
Total :
3241

Recherche


Docs
   Pflogsumm (Analyseur de log mail pour Postfix)
   Proftpd (Mise en service d'un serveur FTP avec proftpd sous Linux)
   Openldap (Mise en service d'un serveur LDAP sous Linux)
   Gestion des périphériques en c++ builder (Communication RS232 en C++ Builder)
   Les sockets windows (Windows Sockets : un cours accéléré)

guill.net©1999-2024